威脅情報(bào)是目前信息安全領(lǐng)域最熱門(mén)的術(shù)語(yǔ)之一。但是,正如許多流行語(yǔ)一樣,它經(jīng)常被濫用和濫用。所有的嗡嗡聲都造成了很多混亂。
其中大部分源于威脅數(shù)據(jù)(即威脅信息)是威脅情報(bào)的說(shuō)法,當(dāng)它只是一個(gè)難題時(shí)。當(dāng)數(shù)據(jù)通過(guò)威脅上下文進(jìn)行豐富時(shí),威脅數(shù)據(jù)將成為威脅情報(bào),從而生成相關(guān)的可操作信息,使組織能夠更好地調(diào)整其安全性和業(yè)務(wù)目標(biāo)。
威脅數(shù)據(jù)是惡意域,IP地址或哈希值的原始集合,不提供任何攻擊或威脅上下文。
雖然威脅數(shù)據(jù)確實(shí)具有其用例,但其優(yōu)勢(shì)在沒(méi)有上下文的情況下受到限制,以允許安全團(tuán)隊(duì)做出明智的決策。為了正確利用威脅情報(bào),組織必須通過(guò)將其引入其安全計(jì)劃,清楚地了解其尋求實(shí)現(xiàn)的目標(biāo)。沒(méi)有它,威脅情報(bào)程序可能會(huì)成為資源的昂貴消耗,并且?guī)缀鯖](méi)有實(shí)際價(jià)值。
數(shù)據(jù)質(zhì)量
雖然數(shù)據(jù)饋送對(duì)于威脅情報(bào)程序至關(guān)重要:并非所有來(lái)源都是平等的。
雖然有許多威脅情報(bào)來(lái)源,但最常見(jiàn)的來(lái)源是:惡意軟件處理,掃描/爬行,蜜罐,人工智能和內(nèi)部遙測(cè)。威脅情報(bào)通常作為開(kāi)源,免費(fèi)資源或付費(fèi)訂閱提供。
為了從這些數(shù)據(jù)源中獲得最大收益,組織需要很好地理解其源的來(lái)源,以便他們可以評(píng)估與其內(nèi)部智能相關(guān)的數(shù)據(jù)。
最好的Feed會(huì)近乎實(shí)時(shí)地更新和轉(zhuǎn)發(fā)。消化舊的或不完整的數(shù)據(jù)可能導(dǎo)致組織關(guān)注錯(cuò)誤的目標(biāo),這可能導(dǎo)致數(shù)據(jù)過(guò)載和警報(bào)疲勞。在云計(jì)算時(shí)代尤其如此,IP地址可以每天多次發(fā)布和重復(fù)使用。
數(shù)據(jù)豐富
成功的威脅情報(bào)計(jì)劃的關(guān)鍵是對(duì)每個(gè)數(shù)據(jù)饋送進(jìn)行適當(dāng)?shù)姆治?- 獲得進(jìn)行操作變更和保護(hù)環(huán)境所需的上下文。
如果沒(méi)有仔細(xì)的規(guī)劃和執(zhí)行,將威脅情報(bào)納入現(xiàn)有的安全計(jì)劃可能會(huì)導(dǎo)致令人失望的結(jié)果。例如,一家采用FS-ISAC(金融服務(wù)部門(mén))威脅情報(bào)的制造公司將不太可能實(shí)現(xiàn)其預(yù)期的結(jié)果; 因?yàn)檫@種特殊的情報(bào)來(lái)源將具有金融服務(wù)背景,而不是專(zhuān)注于與其行業(yè)相關(guān)的威脅。
安全情報(bào)和業(yè)務(wù)目標(biāo)
成功的基礎(chǔ)是確保威脅情報(bào)計(jì)劃與業(yè)務(wù)目標(biāo)保持一致。執(zhí)行此操作的最佳方法是評(píng)估特定數(shù)據(jù)饋送如何解決與特定業(yè)務(wù)操作相關(guān)的安全問(wèn)題。
通常,當(dāng)事件發(fā)生時(shí),對(duì)其范圍或嚴(yán)重程度知之甚少。知識(shí)通常僅限于單個(gè)警報(bào)或指示器,必須通過(guò)適當(dāng)?shù)谋尘昂椭悄軄?lái)豐富,以便從第一個(gè)事件中轉(zhuǎn)移并確定潛在事件的全部范圍。這種模糊性是最先進(jìn)的攻擊的典型特征,它隱藏在復(fù)雜的編碼或惡意軟件背后。安全團(tuán)隊(duì)必須對(duì)每個(gè)事件進(jìn)行分類(lèi)和評(píng)估,以確定其準(zhǔn)確性和嚴(yán)重性,以確定是否需要更多關(guān)注(調(diào)查)。
在這兩個(gè)階段中,安全運(yùn)營(yíng)團(tuán)隊(duì)通常依靠威脅情報(bào)來(lái)確定事件的可能范圍及其可能造成的損害。例如,有關(guān)文件的警報(bào)可能只包含一個(gè)哈希指示符。手動(dòng)分析可能會(huì)發(fā)現(xiàn)其他指標(biāo),但這種分析非常耗時(shí)。
正確使用自動(dòng)化
更好的方法是部署自動(dòng)威脅情報(bào)增強(qiáng)系統(tǒng)。
雖然分析人員可能需要幾分鐘甚至幾小時(shí)才能從惡意軟件分析轉(zhuǎn)向整個(gè)網(wǎng)絡(luò)中的指標(biāo),但自動(dòng)化方法可以在幾秒鐘內(nèi)完成相同的工作。自動(dòng)化威脅情報(bào)豐富可用于實(shí)現(xiàn)既快速又高效的可預(yù)測(cè)且可重復(fù)的流程。這種方法還使分析人員免于收集和驗(yàn)證數(shù)據(jù)的繁瑣且容易出錯(cuò)的任務(wù),從而將其釋放出來(lái)用于增值分析和威脅搜尋。
威脅情報(bào)的目標(biāo)是使用數(shù)據(jù)來(lái)提高安全性并提供更高的可見(jiàn)性,因此安全人員可以根據(jù)他們對(duì)業(yè)務(wù)帶來(lái)的風(fēng)險(xiǎn)確定補(bǔ)救措施的優(yōu)先級(jí)。
選擇“正確”的數(shù)據(jù)源是第一步,但設(shè)置機(jī)制和工作流程來(lái)挖掘它,豐富它并將其轉(zhuǎn)化為可操作的智能更為重要。
